セキュリティ効果を「12個のKPI」で見える化 “予算死守”の極意とは？：セキュリティを指標で管理【前編】

セキュリティの「KPI」を定めることで、現状のセキュリティ体制の問題点を洗い出し、必要な対策を打てるようになる。どのような数値を管理すればいいのか。セキュリティのKPIとして「12個の指標」を解説する。

[Andrew Froehlich，TechTarget]

　セキュリティでも「KPI」（重要業績評価指標）が重要だ。セキュリティに関連する一連の状況を数値化することで、自社のセキュリティ対策が良いのか悪いのかを判断できるようになる。自社がさらされているリスクを把握し、効率よく対策を打つためにも、セキュリティのKPI管理が欠かせない。では何を管理すればいいのか。セキュリティに関する「12個の指標」を紹介する。

セキュリティ効果を可視化する「12個のKPI」はこれだ

併せて読みたいお薦め記事

セキュリティは「意識」することがポイント

• セキュアなアプリケーション開発に求められる「4つの指標」とは？
• ヒューマンファイアウォールとは？　従業員のセキュリティ意識が育つ思考法

1．侵入の試みの検出数

　侵入の試みの検出数は、自社が直面している脅威の量や種類を示す。セキュリティの仕組みがうまく機能してシステムへの侵入を防げていると、自社が標的になっていないという誤解を生む可能性がある。その場合、経営陣は「セキュリティ予算を削ってもいい」と勘違いする恐れがある。侵入の試みの検出数を共有することにより、経営陣にセキュリティ予算の重要性を理解してもらえる。

2．インシデントの発生件数

　予算を確保してセキュリティツールを導入した後、問われるのはその効果だ。インシデントの発生件数を把握することで、導入したセキュリティツールが防御の強化につながっているのかどうかを判断できるようになる。セキュリティツールによってインシデントを防げているのであれば、その投資が無駄ではなかったことを示せる。

3．インシデントの深刻度

　「システムが広い範囲にわたってマルウェア感染した」「重要なデータが流出した」など、インシデントの深刻度を把握できれば、優先順位を付けて効率よく対策を講じられるようになる。この指標を使うことで、新しく導入したセキュリティツールによって深刻度の高いインシデントの発生件数を抑制できているかどうかを確認することも可能だ。

4．インシデントへの対処時間

　セキュリティ対策はスピードが命だ。インシデントへの対処時間を見える化することで、どの程度迅速にアラートの評価や対策の実施ができているかが分かる。対処時間が長過ぎるという判断になった場合、セキュリティ体制を見直して時間短縮に取り組むべきだ。インシデントへの対処時間の指標としては、「平均検出時間」（Mean Time To Detect：MTTD）や「平均応答時間」（Mean Time To Respond：MTTR）がある。

5．システムの修復時間

　インシデントが発生した場合、マルウェアなどの脅威を分離し、除去するまでの修復時間を計測することが大切だ。インシデントへの対処時間と同様、システムの修復時間が長過ぎるという判断になった場合は、迅速に改善策を打つことが重要だ。システムの修復時間の指標としては「平均復旧時間」（Mean Time To Recovery：MTTR）がある。平均応答時間のMTTRとは違うので、注意が必要だ。

6．過検出・検出漏れの数

　マルウェア検出ツールを使用していると、過検出や検出漏れが発生することがある。マルウェア検出ツールがどれだけの精度でマルウェアを検出できているのかを測定し、定期的に設定を調整する必要がある。

7．脆弱性パッチの適用にかかる時間

　システムを攻撃から守るために欠かせない対策の一つが、脆弱（ぜいじゃく）性に対するパッチ（修正プログラム）適用だ。パッチが公開されてから自社がインストールするまでにかかる時間を測定することで、パッチ適用の体制がうまく機能しているかどうかが分かる。

8．脆弱性診断ツールの評価情報

　脆弱性診断ツールを用いてスキャンを実行することで、脆弱性のパッチが適用されているかどうかを確認し、潜在的なリスクを特定できる。脆弱性診断ツールの評価には新しく発見された脆弱性や未解決の脆弱性、脆弱性のリスク評価などが含まれる。これらの情報を7つ目のパッチ適用にかかる時間と併用することで、脆弱性管理の現状を可視化できる。

9．アクセス制御

　セキュリティリスクは組織の「外部」に限らず、「内部」にもある。そのため、どのエンドユーザーにどのようなアクセス権限を付与するかに関するアクセス制御が重要だ。アクセス制御に関する情報を収集、分析することで、組織内部に潜むセキュリティの問題と、アクセス制御において変更が必要な点を明確にできる。

10．社内ネットワークにおける通信量

　社内ネットワークを通じて送受信されるデータ量の測定は、潜在的な脅威を特定する上で役立つ。ネットワークを流れるデータ量の変化は、マルウェアの侵入やその他のサイバー攻撃の兆候を示していることがあるからだ。

11．監査、侵入テストの実行頻度

　セキュリティツールがうまく機能しているかどうかを確認するには、監査や侵入テストなどの一連の確認作業が重要になる。こうした作業は後回しになったり、忘れられてしまったりする恐れがある。監査や侵入テストの実行頻度を測定することで、そうした作業を実行する意識付けができるようになる。

12．同業他社との比較

　クラウド型のセキュリティ分析ツールは、同じ業界の他社の数値と比較する指標（ベンチマーク）を提供している場合がある。同業他社との比較によって、自社のセキュリティ体制の強みや弱点を把握し、業界標準を目指せるようになる。

---

　後編は、セキュリティのKPIを達成するためのベストプラクティス（最適な方法）を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。